Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux de pare-feu Palo Alto Networks

Compatible avec :

Google SecOps SIEM

Présentation

Ce document explique comment configurer syslog et un redirecteur Google Security Operations pour collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journaux de pare-feu Palo Alto Networks sont mappés aux champs du modèle de données unifié (UDM) de Google Security Operations.

Pour en savoir plus sur l'ingestion de données dans Google Security Operations, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PAN_FIREWALL.

Avant de commencer

Assurez-vous que le produit de pare-feu Palo Alto Networks est correctement déployé et configuré. Pour obtenir des instructions de configuration détaillées, consultez la documentation PAN-OS.
Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, consultez l'architecture de déploiement. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un transmetteur Google Security Operations sur un serveur Linux pour transférer les données de journaux vers Google Security Operations. L'analyseur accepte les journaux écrits dans les formats de données suivants : valeurs séparées par une virgule (CSV), Common Event Format (CEF) et Log Event Extended Format (LEEF).
Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Google Security Operations. Le tableau suivant répertorie les formats de journaux et les versions PAN-OS correspondantes compatibles avec l'analyseur Google Security Operations :

Format du journal Version de PAN-OS

CSV 10.1.3

CEF 10.0.0

LEE 9.1.0
Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Google Security Operations. L'analyseur Google Security Operations est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants :
- Trafic
- Menace
- Envois WildFire
- Inspection de tunnels
- Config
- Système
- Correspondance HIP
- IP-Tag
- User-ID
- Déchiffrement
- Authentification
- Filtrage des URL
- Filtrage des données
- GlobalProtect
- Corrélation
- GTP
Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez Types de journaux PAN-OS.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Avant d'utiliser l'analyseur de pare-feu Palo Alto Networks, consultez les modifications apportées aux mappages de champs entre l'analyseur précédent et l'analyseur de pare-feu Palo Alto Networks actuel. Lors de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou les autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.

Par exemple, dans la version précédente de l'analyseur, le champ de journal category est mappé sur le champ UDM security_result.description. Dans l'analyseur de pare-feu Palo Alto Networks actuel, le champ de journal category est mappé au champ UDM security_result.category_details. Si vous migrez vers l'analyseur de pare-feu Palo Alto Networks actuel et que vous utilisez le champ category dans vos règles, vous devez modifier les règles pour utiliser le champ security_result.category_details UDM de l'analyseur actuel.

Configurer syslog et le redirecteur Google Security Operations

Pour configurer syslog et le transmetteur Google Security Operations, procédez comme suit :

Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez Configurer le profil du serveur syslog.

Lorsque vous configurez le profil du serveur syslog, spécifiez "Default" (Par défaut) comme format de journal personnalisé.
Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks afin qu'il les transmette. Pour en savoir plus, téléchargez le guide d'intégration CEF de PAN-OS au format PDF et consultez la section "Configuration du NGFW Palo Alto Networks pour générer des événements CEF".
Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez Transfert de journaux personnalisés au format LEEF.
Configurez le redirecteur Google Security Operations pour envoyer les journaux à Google Security Operations. Pour en savoir plus, consultez Installer et configurer le transmetteur sur Linux. Voici un exemple de configuration de redirecteur Google Security Operations :
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Formats de journaux de pare-feu Palo Alto Networks compatibles

L'analyseur de pare-feu Palo Alto Networks est compatible avec les journaux aux formats LEEF,CEF et CSV.

Exemples de journaux de pare-feu Palo Alto Networks compatibles

LEE

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

Référence de mappage de champ : champs des journaux de pare-feu PAN vers les champs UDM

Cette section explique comment l'analyseur mappe les champs de journaux de pare-feu Palo Alto Networks aux champs d'événements UDM Google Security Operations pour chaque type de journal.

La clé de libellé Google Security Operations fait référence au nom de la clé mappée au champ UDM Labels.key. Par exemple, dans le cas du champ "Virtual System", le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys", et le champ UDM "about.labels.value" contient la valeur de ce champ.

Certains noms de champs CEF ou LEEF ne correspondent pas aux noms de champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable dans le format de journal personnalisé du profil syslog, l'analyseur ne le mappe pas au champ UDM.

Pour obtenir des informations sur le mappage de chaque type de journal, consultez les sections suivantes :

Système
Config
Menace/Incendie
Trafic
ID utilisateur
Correspondance HIP
Tag d'adresse IP
Déchiffrement
Tunnel
Authentification
URL
Données
GlobalProtect
Corrélation
GTP

Système

Le tableau suivant répertorie les champs de journaux du type de journal système et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type est défini sur "%{type} - %{subtype}".
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type est défini sur "%{type} - %{subtype}".
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	cat		eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Objet (objet)	fname	Nom de fichier	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Module (module)	flexString2	Module	module	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	$number-of-severity(header)	Gravité		security_result.severity et security_result.severity_details
Description (opaque)	Message	Message		metadata.description
	principal_user_userid (ce champ est extrait du champ "msg")			principal.user.userid
	principal_ip3 (ce champ est extrait du champ "msg")			principal.ip
	Motif (ce champ est extrait du champ "msg")			security_result.description
	server_address (ce champ est extrait du champ "msg")			target.ip
	server_profile (ce champ est extrait du champ "msg")			additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)

Config

Le tableau suivant liste les champs de journaux du type de journal de configuration et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)			metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Hôte (host)	shost	src		principal.ip/hostname
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commande (cmd)	agir	Message	cmd	metadata.description
Administrateur (admin)	duser	usrName		principal.user.userid
Client (client)	destinationServiceName	Client		principal.application
Résultat (result)	ID de signature (en-tête)(motif)	Résultat		security_result.summary
Chemin de configuration (chemin)	Message	ConfigurationPath		principal.process.command_line
Détails avant modification (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Détail après modification (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Groupe d'appareils (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Commentaire d'audit (commentaire)	PanOSPolicyAuditComment		commentaire	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Menace/WildFire

Le tableau suivant répertorie les champs de journaux du type de journal "Threat/WildFire" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	cat/subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs (flags)	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)	request	Autres		target.file.full_path (si le sous-type est "file", "virus", "wildfire-virus" ou "wildfire", le champ "misc" est mappé sur target.file.full_path) target.url (si le sous-type est "url", le champ "misc" est mappé sur target.url et target.hostname) target.hostname (si le sous-type est "spyware" ou "vulnerability", le champ "misc" est mappé sur target.file.full_path et target.url)
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_name
Catégorie (category)	cs2	URLCategory		security_result.category_details
Gravité (severity)	number-of-severity(header)	Gravité		security_result.severity et security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Type de contenu (contenttype)		ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Condensé de fichier (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (cloud)	filePath	Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Index de l'URL (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
User-agent (user_agent)				network.http.user_agent
Type de fichier (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
URL de provenance (referer)				network.http.referral_url
Expéditeur (sender)	suid	Expéditeur		network.email.from
Objet (objet)	Message	Objet		network.email.subject
Destinataire	duid	Destinataire		network.email.to
ID du rapport (reportid)	oldFileId	ReportID	reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Méthode HTTP (http_method)		RequestMethod		network.http.method
ID/IMSI du tunnel (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Surveiller le tag/l'IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de menace (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Version du contenu (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
En-têtes HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du POD (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)	PanDstEDL		dst_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
EDL de domaine (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques sources (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Hachage partiel (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res timestamp)	PanTimeHighRes		high_res timestamp	metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Motif (reason)	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Justification	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de service de tranche (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État d'approbation de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Trafic

Le tableau suivant répertorie les champs de journaux du type de journal de trafic et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat/Type		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)	start			metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs (flags)	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
Octets (octets)	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	dans	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
Paquets (packets)	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		StartTime	start	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps écoulé (elapsed)	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Catégorie (category)	cs2	URLCategory		security_result.category / security_result.category_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de fin de la session (session_end_reason)	reason	SessionEndReason		security_result.summary
Hiérarchie des groupes d'appareils1 (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID/IMSI du tunnel (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Surveiller le tag/l'IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP (chunks)	PanOSSCTPChunks		chunks	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP envoyés (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP reçus (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de changements de lien dans l'application (link_change_count)	PanLinkChange		link_change_count	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de la règle (policy_id)	PanPolicyID		policy_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commutateurs de lien (link_switches)	PanLinkDetail		link_switches	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'appareil SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Site SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du POD (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Groupe d'adresses dynamiques sources (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Propriétaire de la session (session_owner)	PanHASessionOwner		session_owner	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Type de service de tranche (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Différenciateur de tranche (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État d'approbation de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

User-ID

Le tableau suivant liste les champs de journaux du type de journal "user-id" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (ip)	src	src		principal.ip
Utilisateur (utilisateur)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nom de la source de données (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)		EventID	eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Seuil de délai d'inactivité (délai avant expiration)	cn3	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (beginport)	spt	srcPort		principal.port
Port de destination (endport)	dpt	dstPort		target.port
Source de données	cs5	DataSource	source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Type de facteur (factortype)	cs1	FactorType	factortype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de fin de la factorisation (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indicateurs de groupe d'utilisateurs (ugflags)	PanOSUGFlags		ugflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur par source (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Code temporel haute résolution (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Correspondance HIP

Le tableau suivant répertorie les champs de journaux du type de journal "Correspondance HIP" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type
Heure de génération (time_generated ou cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Utilisateur source (srcuser)	suser	usrName		principal.user.userid
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la machine (machinename)	shost	identHostName		principal.hostname
Système d'exploitation (os)	cs2	OS		principal.asset.platform_software.platform
Adresse source (src)	src	identsrc		principal.ip
HIP (matchname)	cat	HIP	matchname	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de HIP (matchtype)	ID de la classe d'événement de l'appareil (en-tête)	HIPType	matchtype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Adresse système IPv6 (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID de l'hôte (hostid)	PanOSHostID			principal.asset.product_object_id
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Adresse MAC de l'appareil (mac)	PanOSEndpointMac			principal.asset.mac
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Tag d'adresse IP

Le tableau suivant répertorie les champs de journaux du type de journal "Tag d'adresse IP" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (ip)	src	src		principal.ip
Nom de la balise (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (event_id)	PanOSEventID	EventID	event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Délai avant expiration (timeout)	PanOSTimeout	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la source de données (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Sous-type de source de données (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Code temporel haute résolution (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Déchiffrement

Le tableau suivant répertorie les champs de journaux du type de journal de déchiffrement et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Type (type)	type (Header)			metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)			metadata.product_event_type
Version de configuration (config_ver)	PanOSConfigVersion		config_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de génération (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Adresse source (src)	src			principal.ip
Adresse de destination (dst)	dst			target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Règle (rule)	cs1			security_result.rule_name
Utilisateur source (srcuser)	suser			principal.user.userid
Utilisateur de destination (dstuser)	duser			target.user.userid
Application	application			target.application
Système virtuel (vsys)	cs3		vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4		de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5		à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6		ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de réception (time_received)	PanOSTimeReceivedManagementPlane			-
ID de session (sessionid)	cn1			network.session_id
Nombre de répétitions (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt			principal.port
Port de destination (dport)	dpt			target.port
Port source NAT (natsport)	sourceTranslatedPort			principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort			target.nat_port
Indicateurs (flags)	flexString1		flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto			network.ip_protocol
Action (action)	agir			security_result.action_details security_result.action
Tunnel (tunnel)	PanOSTunnel		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID de la VM de destination (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Étape pour le client vers le pare-feu (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape de pare-feu à serveur (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Version TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algorithme d'échange de clés (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de chiffrement (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de hachage (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la règle (policy_name)	PanOSPolicyName		policy_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Courbe elliptique (ec_curve)	PanOSEllipticCurve			network.tls.curve
Index des erreurs (err_index)	PanOSErrorIndex		err_index	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de la racine (root_status)	PanOSRootStatus		root_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de la chaîne (chain_status)	PanOSChainStatus		chain_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série du certificat (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Empreinte du certificat	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Date de début du certificat (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Date de fin de validité du certificat (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Version du certificat (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Taille du certificat (cert_size)	PanOSCertificateSize		cert_size	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun de l'émetteur (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun racine (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indicateurs de certificat (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun de l'objet (cn)	PanOSCommonName		cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun de l'émetteur (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nom commun racine (root_cn)	PanOSRootCommonName		root_cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indication du nom du serveur (sni)				network.tls.client.server_name
Erreur (erreur)	PanOSErrorMessage		erreur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du conteneur (container_id)	PanOSContainerID		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du POD (pod_name)	PanOSContainerName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques sources (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Catégorie de l'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value
Version de l'OS de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceDeviceHost			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceDeviceMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanOSDestinationDeviceHost			target.hostname
Adresse MAC de destination (dst_mac)	PanOSDestinationDeviceMac			target.mac
Numéro de séquence (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags		actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				intermediary.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État d'approbation de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Tunnel

Le tableau suivant répertorie les champs de journaux du type de journal de tunnel et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs (flags)	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement de la source (srcloc)				principal.location.country_or_region
Lieu de destination (dstloc)				target.location.country_or_region
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tag Monitor (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	cs2	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets (octets)	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	dans	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
Paquets (packets)	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Encapsulation maximale (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole inconnu (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Vérification stricte (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragment de tunnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions créées (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions fermées (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de fin de la session (session_end_reason)	reason	SessionEndReason		security_result.summary
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		startTime	start	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps écoulé (elapsed)	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Règle d'inspection du tunnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
Adresse IP de l'utilisateur distant (remote_user_ip)	PanOSRmtUserIP			target.ip
ID utilisateur distant (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle de sécurité (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Liste dynamique externe source (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Différenciateur de tranche (nssai_sd)			nssai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de service de tranche (nssai_sd)			nssai_sd1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session PDU (pdu_session_id)			pdu_session_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État d'approbation de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Authentification

Le tableau suivant répertorie les champs de journaux du type de journal d'authentification et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (ip)	src	src		principal.ip
Utilisateur (utilisateur)	duser	usrName		target.user.userid
Normaliser l'utilisateur (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objet (objet)	fname	ObjectName	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Règles d'authentification (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'authentification (authid)	cn2	AuthenticationID	authid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur	flexString2	Vendor	vendor	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Profil du serveur (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Description (décroiss.)	PanOSDesc	AdditionalAuthInfo		security_result.description
Type de client (clienttype)	cs5	ClientType	clienttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'événement (event)	Message	Message		extensions.auth.auth_details
Numéro de facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Protocole d'authentification (authproto)			authproto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Catégorie de l'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceHostname			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceMac			principal.asset.mac
Région (région)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID de session(sessionid)	PanOSTrafficSessionID			network.session_id
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

URL

Le tableau suivant répertorie les champs de journal du type de journal "URL" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
N° de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Règle (rule)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée de connexion			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs (flags)	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_id
Catégorie (category)	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity (en-tête)	Gravité		security_result.severity security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
URL de provenance (referer)	PanOSReferer	Référent		network.http.referral_url
expéditeur (sender)				network.email.from
sujet (subject)		Objet		network.email.subject
destinataire (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 1 de la hiérarchie des groupes de données (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 2 de la hiérarchie DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 3 de la hiérarchie des groupes de produits (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 4 de la hiérarchie DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID/IMSI du tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname		src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanPODNamespace			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du POD (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques sources (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Motif (reason)	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application tunnelée (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État approuvé de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Données

Le tableau suivant répertorie les champs de journaux du type de journal de données et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
N° de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (Header)	cat		metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Règle (rule)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée de connexion			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs (flags)	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_id
Catégorie (category)	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity (en-tête)	Gravité		security_result.severity security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
URL de provenance (referer)				network.http.referral_url
expéditeur (sender)				network.email.from
sujet (subject)		Objet		network.email.subject
destinataire (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 1 de la hiérarchie des groupes de données (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 2 de la hiérarchie DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 3 de la hiérarchie des groupes de produits (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 4 de la hiérarchie DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID/IMSI du tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)			url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)			http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)				principal.ip
Catégorie de l'appareil source (src_category)			src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)			src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)			src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)			src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)				principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)				principal.asset.software.version
Nom d'hôte source (src_host)			src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse MAC source (src_mac)				principal.mac
Catégorie d'appareil de destination (dst_category)			dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)			dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)			dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)			dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)				target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)				target.asset.software.version
Nom d'hôte de destination (dst_host)				target.hostname
Adresse MAC de destination (dst_mac)				target.mac
ID du conteneur (container_id)			container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)			pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du POD (pod_name)			pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)			src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destinations (dst_edl)			dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)			hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques sources (src_dag)				principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Motif (reason)			reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification			justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application tunnelée (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État approuvé de l'application (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

GlobalProtect

Le tableau suivant répertorie les champs de journaux du type de journal GlobalProtect et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time)	rt		received_time	metadata.event_timestamp
N° de série	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Type (type)	type (Header)			metadata.product_event_type
Type de menace/de contenu (sous-type)	sous-type (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Système virtuel (vsys)	PanOSVirtualSystem		vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	PanOSEventID		event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape (stage)	PanOSStage		étape	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Méthode d'authentification (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Type de tunnel (tunnel_type)	PanOSTunnelType		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur source (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Région source (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nom de la machine (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
Adresse IP publique (public_ip)	PanOSPublicIPv4			principal.nat_ip
Adresse IPv6 publique (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Adresse IP privée (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privée (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID de l'hôte (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Numéro de série (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Version du client (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
OS du client (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Version de l'OS du client (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Nombre de répétitions (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif (reason)	PanOSQuarantineReason			security_result.summary
Erreur (erreur)	PanOSConnectionError		erreur	security_result.description
Description (opaque)	PanOSDescription			security_result.description
État (status)	PanOSEventStatus		état	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement (emplacement)	PanOSGPGatewayLocation			target.location.country_or_region
Durée de connexion (login_duration)	PanOSLoginDuration			network.session_duration
Méthode de connexion (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code d'erreur (error_code)	PanOSConnectionErrorID		error_code	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Portail (portal)	PanOSPortal		portail	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	PanOSSequenceNo			metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags		actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Méthode de sélection de la passerelle (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps de réponse SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Priorité de la passerelle (priority)	PanOSGatewayPriority		priorité	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Passerelles tentées (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la passerelle (gateway)	PanOSAttemptedGateways		passerelle	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)			dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)			dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)			dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)			dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				target.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Gravité (severity)	number-of-severity(header)			security_result.severity et security_result.severity_details

Corrélation

Le tableau suivant répertorie les champs de journaux du type de journal "Corrélation" et les champs UDM correspondants.

Champ CSV	Champ LEEF	Clé de libellé Google Security Operations	Champ UDM
Heure de génération (time_generated ou cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Adresse source (src)	src		principal.ip
Utilisateur source (srcuser)	SourceUser / usrName		principal.user.userid
Système virtuel (vsys)	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie (category)			security_result.category_details
Gravité (severity)	Gravité		security_result.severity et security_result.severity_details
Niveau 1 de la hiérarchie des groupes d'appareils	DeviceGroupHierarchyL1		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 2 de la hiérarchie des groupes d'appareils	DeviceGroupHierarchyL2		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 3 de la hiérarchie des groupes d'appareils	DeviceGroupHierarchyL3		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Niveau 4 de la hiérarchie des groupes d'appareils	DeviceGroupHierarchyL4		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nom de l'objet (objectname)	ObjectName		target.resource.name
ID de l'objet (object_id)	ObjectID		target.resource.product_object_id

GTP

Le tableau suivant répertorie les champs de journaux du type de journal GTP et les champs UDM correspondants.

Champ CSV	Clé de libellé Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Numéro de série		intermediary.asset.hardware.serial_number
Type (type)		metadata.product_event_type
Type de menace/de contenu (sous-type)		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)		metadata.event_timestamp
Adresse source (src)		principal.ip
Adresse de destination (dst)		target.ip
Nom de la règle (règle)		security_result.rule_name
Application		network.application_protocol
Système virtuel (vsys)	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)		network.session_id
Port source (sport)		principal.port
Port de destination (dport)		target.port
Protocole IP (proto)		network.ip_protocol
Action (action)		security_result.action_details security_result.action
Type d'événement GTP (event_type)	gtp_event_type	additional.fields.key et additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key et additional.fields.value.string_value
Nom du point d'accès (APN)	apn	additional.fields.key et additional.fields.value.string_value
Technologie d'accès radio (rat)	rat	additional.fields.key et additional.fields.value.string_value
Type de message GTP (msg_type)	gtp_msg_type	additional.fields.key et additional.fields.value.string_value
Adresse IP de fin (end_ip_adr)		principal.ip
Identifiant du point de terminaison du tunnel 1 (teid1)	teid1	additional.fields.key et additional.fields.value.string_value
Identifiant du point de terminaison du tunnel 2 (teid2)	teid2	additional.fields.key et additional.fields.value.string_value
Interface GTP (gtp_interface)	gtp_interface	additional.fields.key et additional.fields.value.string_value
Cause GTP (cause_code)	gtp_cause_code	additional.fields.key et additional.fields.value.string_value
Gravité (severity)		security_result.severity et security_result.severity_details
Code MCC du réseau de diffusion (mcc)	CM	additional.fields.key et additional.fields.value.string_value
Code MNC (mnc) du réseau de diffusion	mnc	additional.fields.key et additional.fields.value.string_value
Indicatif régional (area_code)	area_code	additional.fields.key et additional.fields.value.string_value
ID de cellule (cell_id)	cell_id	additional.fields.key et additional.fields.value.string_value
Code d'événement GTP (event_code)	event_code	additional.fields.key et additional.fields.value.string_value
Emplacement de la source (srcloc)		principal.location.country_or_region
Lieu de destination (dstloc)		target.location.country_or_region
ID/IMSI du tunnel (imsi)	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise de surveillance/IMEI (imei)	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)	start	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps écoulé (elapsed)		network.session_duration.seconds
Règle d'inspection du tunnel (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
Adresse IP de l'utilisateur distant (remote_user_ip)		target.ip
ID utilisateur distant (remote_user_id)	remote_user_id	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)		security_result.rule_id
ID PCAP (pcap_id)	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (si "Générer l'heure" est absent)
Type de service de tranche (nsdsai_sst)	nsdsai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Différenciateur de tranche (nsdsai_sd)	nsdsai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)	subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)	category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)	technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)	risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)	characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)	container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)	is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État d'approbation de l'application (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Référence de mappage des champs : types de journaux et types d'événements UDM

Le tableau suivant liste les types de journaux de pare-feu Palo Alto Networks et les types d'événements UDM correspondants.

Type de journal	Type d'événement UDM
Trafic	NETWORK_CONNECTION
Menace	NETWORK_CONNECTION
Filtrage des URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Les journaux d'envoi WildFire sont un sous-type du type de journal "Menace" et utilisent le même format syslog.
Filtrage des données	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Config	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED La valeur du champ "Command (cmd)" détermine le mappage du type d'événement UDM. Si la valeur du champ "cmd" est "add" ou "clone", SETTING_CREATION est défini. Si la valeur du champ "cmd" est "delete", SETTING_DELETION est défini. Si la valeur du champ "cmd" est "edit", "move", "rename", "set" ou "commit", SETTING_MODIFICATION est défini. Si la valeur du champ "cmd" ne contient aucune valeur, SETTING_UNCATEGORIZED est défini.
Système	Si la valeur du sous-type est "dhcp", NETWORK_DHCP est défini. Si la valeur du sous-type est "auth", USER_LOGIN est défini. Si la valeur de la description est "logged in" (connecté), USER_LOGIN est défini. Si la valeur de la description est "logged out", USER_LOGOUT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini.
HIP Match	NETWORK_CONNECTION
Balise IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si la valeur du sous-type est "login", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini.
Déchiffrement	NETWORK_CONNECTION
Authentification	GENERIC_EVENT

Étapes suivantes

Ingestion de données dans Google Security Operations

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.

Format du journal	Version de PAN-OS
CSV	10.1.3
CEF	10.0.0
LEE	9.1.0